-
暗雲
(計算機木馬)
鎖定
- 中文名
- 暗雲
- 外文名
- Bootkit
- 涉及領域
- 計算機病毒
- 所屬技術
- Bootkit木馬
暗雲名稱來源
一個影響百萬計算機的危險木馬被第一時間攔截查殺。據悉,該木馬能夠使用多種複雜技術潛伏於電腦磁盤引導區中,並通過雲端攻擊危害用户,是迄今為止最複雜的木馬之一,被騰訊電腦管家安全專家命名為“暗雲”。“暗雲”木馬並沒有具體的文件形態,它潛伏於用户電腦的磁盤引導區內,通過雲端數據下載病毒代碼向電腦發起攻擊,並可破壞殺毒軟件功能,即便用户格式化硬盤也難以清除,查殺該木馬的技術難度超越之前的“鬼影”病毒
[2]
。
常駐計算機模塊(MBR)行為
電腦開機後,受感染的磁盤MBR第一時間獲得CPU的控制權,其功能是將磁盤3-63扇區的木馬主體加載到內存中解密執行,木馬主體獲得執行後通過掛鈎int 15中斷來獲取第二次執行的機會,隨後讀取第二扇區中的備份MBR正常地引導系統啓動。系統引導啓動時會通過int 15中斷查詢內存信息,此時掛鈎15號中斷的木馬便得以第二次獲得CPU控制權,獲得控制權後木馬掛鈎BILoadImageEx函數,調用原始15號中斷並將控制權交回給系統繼續引導。當系統引導代碼調用BILoadImageEx加載ntoskrnl.exe時,木馬便第三次獲得控制權,獲得控制權後木馬再一次執行掛鈎操作,此次掛鈎的位置是ntoskrnl.exe的入口點,隨後將控制權交給系統繼續引導。當引導完畢進入windows內核時,掛鈎ntoskrnl入口點的木馬代碼第四次獲得CPU控制權,此時木馬已真正進入windows內核中,獲得控制權後,分配一塊內存空間,將木馬內核的主功能代碼拷貝到分配的空間中,並通過創建PsSetCreateThreadNotifyRoutine回調的方式使主功能代碼得以執行。至此完成木馬由MBR到windows內核的加載過程。
暗雲出現方式
如果發現電腦存在下列症狀,最好使用殺毒軟件查殺暗雲木馬:
2、 訪問baidu.com時網址後面自動加上了一個奇怪的字符串;
3、 電腦出現過RUNDLL錯誤提示框;
4、安卓手機連接電腦後莫名其妙裝上haomm等應用,電腦裏查出xnfbase.dll、thpro32.dll等文件,或者你所在qq羣出現由你分享的私服遊戲(實際上是木馬利用qq漏洞上傳的);
暗雲木馬查殺(3張)
暗雲相關新聞
一個名叫“暗雲”的木馬被媒體熱炒,據稱該木馬查殺難度很高,即使重裝系統也無法徹底清除。其實暗雲木馬和前些年流行的鬼影系列木馬一樣,都是通過感染磁盤主引導區(MBR)頑固駐留,因此查殺暗雲木馬也需要對症下藥
[3]
。
曾影響百萬用户電腦的“暗雲”系列病毒再度變種來襲。近日,騰訊電腦管家發現一個後門程序潛伏在用户電腦,因其篡改系統內核信息,導致多個玩家玩某遊戲時出現卡死問題。經騰訊電腦管家安全專家分析發現,該後門程序為騰訊電腦管家於2015年1月首次發現並命名的暗雲系列病毒木馬,並且與暗雲II相比出現新的進化特徵,升級為“暗雲III”
[5]
2017年6月9日至今,中國國家互聯網應急中心監測發現中國境內有160餘萬台電腦感染了此木馬。為此,中國國家互聯網應急中心首次開通了“暗雲”木馬感染數據免費查詢服務,點擊網址即可查詢使用的IP地址是否受到木馬感染。
[1]
- 參考資料
-
- 1. 國家互聯網應急中心開通暗雲木馬感染數據免費查詢 .央廣網[引用日期2017-06-13]
- 2. 最強木馬“暗雲”兇悍來襲 電腦管家提醒防範(組圖)(2015-02-03 15:03:57) .網易新聞[引用日期2015-02-06]
- 3. 2015年的“暗雲木馬” 用2012年的360老版本就可查殺 .donenw[引用日期2015-02-04]
- 4. 從《大國重器2》看中國網絡安全事業發展二十年 .鳳凰網.2018-03-13[引用日期2018-03-16]
- 5. 史上最複雜木馬“暗雲”升級來襲 騰訊電腦管家率先發布暗雲III專殺工具 .中國網.2017-05-02[引用日期2017-05-04]